该勒索软件目前还在开发过程中,它通过混淆技术,使用开源工具 “node-bash-obfuscate” 将代码分为多个 chunk,并将变量名称分配给每个片段,以变量引用替代原始脚本,从而组建 Bash 脚本。
执行时,DarkRadiation 检查是否以 root 用户运行,如是,则使用提升后的权限下载并安装 Wget、cURL 和 OpenSSL 库,并每隔五秒钟定期捕捉当前登录到Unix 计算机系统的屏幕,之后通过 Telegram API 将结果交给受攻击者控制的服务器。
SentinelOne 公司的研究人员发布报告指出,“如果受感染设备上不具有任意一种工具,则该恶意软件试图使用 YUM (基于 Python 的包管理器,大量用于流行的 Linux 发行版本如 RedHat 和 CentOS)下载所需工具。“
该勒索软件在最后感染阶段会检索受攻陷系统上的所有可用用户,以 “megapassword” 覆写现有用户的密码,并删除所有的 shell 用户,但之前会创建一名新用户,用户名为 “ferrum”,密码为 “MegPw0rD3”以继续加密过程。
觉得不错,就点个 “在看” 或 “赞” 吧~
文章知识点与官方知识档案匹配,可进一步学习相关知识云原生入门技能树首页概览8583 人正在系统学习中
来源:奇安信代码卫士
声明:本站部分文章及图片转载于互联网,内容版权归原作者所有,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!